AWS - EFS Privesc
EFS
Maggiori informazioni su EFS in:
pageAWS - EFS EnumRicorda che per montare un EFS è necessario trovarsi in una sottorete in cui l'EFS è esposto e avere accesso ad esso (gruppi di sicurezza). Se ciò accade, di default sarai sempre in grado di montarlo, tuttavia, se è protetto da politiche IAM, è necessario avere le autorizzazioni extra menzionate qui per accedervi.
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
Con una di queste autorizzazioni, un attaccante può cambiare la politica del file system per concederti l'accesso ad esso, o semplicemente eliminarlo in modo che sia concesso l'accesso predefinito.
Per eliminare la politica:
Per cambiarlo:
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
Con questa autorizzazione, un attaccante sarà in grado di montare l'EFS. Se l'autorizzazione di scrittura non è concessa per impostazione predefinita a tutti coloro che possono montare l'EFS, avrà solo accesso in lettura.
Le autorizzazioni extra elasticfilesystem:ClientRootAccess
e elasticfilesystem:ClientWrite
possono essere utilizzate per scrivere all'interno del file system dopo che è stato montato e per accedere a quel file system come root.
Impatto potenziale: Escalation dei privilegi indiretta individuando informazioni sensibili nel file system.
elasticfilesystem:CreateMountTarget
elasticfilesystem:CreateMountTarget
Se un attaccante si trova all'interno di una sottorete in cui non esiste alcun mount target dell'EFS, potrebbe semplicemente crearne uno nella sua sottorete con questo privilegio:
Potenziale impatto: Privesc indiretto mediante la localizzazione di informazioni sensibili nel file system.
elasticfilesystem:ModifyMountTargetSecurityGroups
elasticfilesystem:ModifyMountTargetSecurityGroups
In uno scenario in cui un attaccante scopre che l'EFS ha un mount target nella sua sottorete ma nessun security group permette il traffico, potrebbe semplicemente modificarlo modificando i security group selezionati:
Potenziale Impatto: Privesc indiretto mediante la localizzazione di informazioni sensibili nel file system.
Last updated